PT-2026-2918 · Cursor · Cursor
Danus365
·
Publicado
2026-01-14
·
Atualizado
2026-06-16
·
CVE-2026-22708
CVSS v4.0
7.2
Alta
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U |
Nome do Software Vulnerável e Versões Afetadas
Versões do Cursor anteriores à 2.3
Descrição
O Cursor é um editor de código projetado para programação com IA. Quando o Agente do Cursor opera no Modo de Execução Automática com o modo de Lista de Permissões (Allowlist) ativado, determinados comandos internos do shell (built-ins) podem ser executados sem aparecer na lista de permissões e sem aprovação do usuário. Isso permite que um atacante, por meio de injeção de prompt indireta ou direta, comprometa o ambiente do shell definindo, modificando ou removendo variáveis de ambiente que impactam comandos confiáveis. Isso pode levar à execução remota de código (RCE).
Recomendações
Versões anteriores à 2.3 devem ser atualizadas para a versão 2.3.
Exploit
Correção
RCE
Special Elements Injection
Command Injection
Code Injection
OS Command Injection
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cursor